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Beschreibung 

Verfahren und Vorrichtung zum Berechnen eines Ergebnisses ei- 
ner Exponentiation 

Die vorliegende Erfindung bezieht sich auf mathematische Al- 
gorithmen fur kryptographische Anwendungen und insbesondere 
auf die Berechnung von Exponentiationen, wie sie beispiels- 
weise im RSA-Kryptoalgorithmus verwendet werden. 

Das RSA-Kryptosystem, das nach seinen Erfindern R. Rivest, A. 
Shamir und L. Adleman benannt ist, ist eines der am meisten 
verwendeten Public-Key-Kryptosysteme . Dieses Verfahren ist im 
Abschnitt 8.2 des ^Handbook of Applied Cryptography" , Mene- 
zes, van Oorschot, Vanstone, CRC Press, 1996, beschrieben. 
Das RSA-Kryptosystem kann dazu verwendet werden, urn sowohl 
Verschlusselungen durchzuf uhren als auch digitale Unter- 
schriften auszufuhren. Seine Sicherheit basiert auf der 
schweren Durchf uhrbar keit des Ganzzahlf aktorisie- 
rungsproblems. Sowohl zur RSA-Verschlusselung als auch zur 
RSA-Entschlusselung mufi eine modulare Exponentiation folgen- 
der Form durchgefuhrt werden: 

E = B d modulo N 

Hierbei stellt B die Basis dar, wahrend d der Exponent ist 
und N der Modul . 

Bei der RSA-Verschlusselung ist der Exponent d Teil des of- 
fentlichen Schlussels. Bei der RSA-Entschlusselung ist der 
Exponent d dagegen Teil des privaten Schlussels, der gegen 
Ausspahungen gesichert werden muft . 

Kryptographieschaltungen stehen nunmehr vor der Aufgabe, die- 
se modulare Exponentiation einerseits sicher und andererseits 
schnell bzw. effizient zu berechnen. Kryptographieschaltungen 
werden ferner haufig in Anwendungen eingesetzt, bei denen Re- 
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chen- und Speicherressourcen begrenzt sind. So ist es nicht 
moglich, auf einer SmartCard, die z. B. fur Identif ikations- 
zwecke oder in Verbindung mit Geldtransaktionen eingesetzt 
wird, hohe Speicher- oder Rechenressourcen vorzusehen. 

Typischerweise wird die Exponentiation, unabhangig davon, ob 
sie modular ist oder nicht, mit dem sogenannten „Square-and- 
Multiply"-Algorithmus berechnet. Hierzu wird auf Fig. 3 Bezug 
genommen. Zunachst wird die Exponentiation ohne modulare Re- 
duktion beschrieben. Im Anschluft daran wird dann ausgefiihrt, 
wie der Algorithmus im Rest klassensystem des Moduls N prakti- 
ziert werden kann. 

Die Aufgabe besteht darin, das Ergebnis E der Exponentiation 
B d zu berechnen, wie es im Block 30 von Fig. 3 ausgefiihrt 
ist. Der Exponent d ist ein binarer Exponent und besteht aus 
mehreren Bits, die sich von einem hochstwertigen Bit (msb) 
bis zu einem niederstwertigen Bit (lsb) erstrecken. Zunachst 
werden die Zahlen B, d bereitgestellt , wie es durch einen 
Block 32 in Fig. 3 dargelegt ist. Dann wird der Ergebniswert 
E auf einen Wert von 1 initialisiert , wie es durch einen 
Block 34 dargestellt ist. 

Im nachf olgenden wird nun der Exponent d Stelle fur Stelle 
untersucht bzw. abgescannt, wobei eine Stelle des Exponenten 
mit di bezeichnet ist. Hat die Stelle bzw. beispielsweise das 
Bit des Exponenten, das gerade untersucht wird, einen Wert 
von 1, wie es durch einen Entscheidungsblock 36 untersucht 
wird, so wird der linke Zweig in Fig. 3 eingeschlagen . Hat 
das untersuchte Bit des Exponenten dagegen einen Wert von 0, 
so wird der rechte Zweig von Fig. 3 eingeschlagen. 

Wird durch den Entscheidungsblock 36 f estgestellt , daft das 
untersuchte Bit des Exponenten einen Wert von 1 hat, so wird 
zunachst der Square-Schritt 38 durchgef uhrt , d. h. der aktu- 
elle Ergebniswert wird quadriert. AnschliefJend wird in einem 
Multiply-Schritt 40 die Basis B auf den aktuellen Wert des 
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Ergebniswerts E, also das Ergebnis des Schritts 38, aufmul- 
tipliziert. In einem weiteren Entscheidungsblock 42 wird dann 
untersucht, ob noch weitere Stellen des Exponenten existie- 
ren. 1st dies der Fall, so wird uber eine Schleife 46 zuruck- 
gesprungen und untersucht, ob die nachste Stelle d ± des Expo- 
nenten eine 1 oder eine 0 hat (Block 36) . 1st die untersuchte 
nachste Stelle gleich Null, so wird der Square-Schritt 38' 
des rechten Zweigs von Fig. 3 ausgefuhrt. Im Gegensatz zum 
linken Zweig findet jedoch in dem Fall, in dem die untersuch- 
te Stelle des Exponenten gleich 0 ist, keine Multiply- 
Operation, die dem Block 40 des linken Zweigs von Fig. 3 ent- 
sprechen wurde, statt. 

Das oben beschriebene Prozedere wird, ausgehend vom 
hochstwertigen Bit des Exponenten d, solange wiederholt, bis 
das niederstwertige Bit erreicht ist. Nach der Verarbeitung 
des niederstwertigen Bits wird der Block 42 feststellen, daft 
keine weiteren d ± mehr vorhanden sind. Der aktuelle Wert des 
Ergebniswerts E ist dann das Gesamtergebnis E der Exponentia- 
tion, das im Block 30 ausgegeben wird. 

Urn aus der in Fig. 3 beschriebenen Exponentiation eine modu- 
lare Exponentiation zu machen, wird im Block 32 zusatzlich 
zur Basis B und zum Exponenten d auch der Modul N eingegeben. 
Daruber hinaus findet in beiden Zweigen eine modulare Reduk- 
tion (Block 44 im linken Zweig bzw. Block 44' im rechten 
Zweig) statt, so daft generell gesagt nach jeder Multiplikati- 
on eine modulare Reduktion durchgefuhrt wird, derart, daft der 
Ergebniswert E am Ende der Verarbeitung fur jede Stelle des 
Exponenten in der Restklasse des Moduls N liegt. 

Es sei darauf hingewiesen, daft die Multiplikation und die mo- 
dulare Reduktion nicht unbedingt in zwei auf einanderf olgende 
Schritte aufgeteilt werden muft . In der Technik sind kombi- 
nierte Multiplikat ions-Look-Ahead- und Reduktions-Look-Ahead- 
Verfahren bekannt, die eine effiziente Berechnung einer Mul- 
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tiplikation erlauben. An dieser Stelle sei besonders der so- 
genannte ZDN-Algorithmus hervorgehoben. 

Der in Fig, 3 gezeigte Square-and-Multiply-Algorithmus in 
seiner einfachsten Form ist in zweierlei Hinsicht problema- 
tisch . 

Zunachst fehlt beim Vergleich der beiden Zweige im rechten 
Zweig, also wenn eine Stelle des Exponenten gleich 0 ist, ei- 
ne Operation. Die beiden Zweige in Fig. 3 sind dahingehend 
unsymmetrisch, daft eine Multiplikation (Block 40) ausgefuhrt 
wird, falls eine Stelle des Exponenten gleich 1 ist, wahrend 
es im rechten Zweig keine entsprechende Operation gibt. Dies 
bedeutet, daft der Square-and-Multiply-Algorithmus somit durch 
sogenannte Timing Attacks und Power Analyses Attacks angreif- 
bar ist. Urn eine Homogenisierung sowohl zeitlich als auch 
strommaftig herbeizuf uhren, d. h. daft der Zeit- und der Leis- 
tungsverbrauch der Schaltung konstant sind, unabhangig davon, 
ob eine 0 oder eine 1 im Exponenten steht, kann im rechten 
Zweig eine Dummy-Mult iplikation 40' eingefuhrt werden, wobei 
das Ergebnis der Dummy-Multiplikation jedoch nicht verwendet 
wird, sondern lediglich das Ergebnis des Blocks 38', also des 
Square-Schritts . 

Die Dummy-Multiplikation fuhrt zwar zu einer zeitlichen und 
strommaftigen Homogenisierung beider Zweige, erfordert jedoch 
Rechenressourcen. Die Dummy-Multiplikation fuhrt somit - auf 
Kosten der Gesamtperf ormance der Schaltung - zu einer hoheren 
Sicherheit . 

Ein weiterer Nachteil des in Fig. 3 beschriebenen Square-and- 
Multiply-Algorithmus ist die Tatsache, daft dieser Algorithmus 
nicht fur eine parallele Ausfuhrung geeignet ist. Wenn bei- 
spielsweise der linke Zweig betrachtet wird, so ist es nicht 
moglich, die Blocke 38 und 40 parallel zu berechnen, da die 
Berechnungen im Block 40 von den Berechnungen im Block 38 ab- 
hangig sind. Ein Rechenwerk muft daher zunachst den Block 38 
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berechnen und dann, wenn das Ergebnis der Quadrierungsopera- 
tion vorliegt, die Berechnungen des Blocks 40, d. h. die Auf- 
multiplikation der Basis auf das Ergebnis des Blocks 38, 
durchf uhren . 

Die Aufgabe der vorliegenden Erfindung besteht darin, ein si- 
cheres und effizientes Konzept zum Berechnen eines Ergebnis- 
ses einer Exponentiation zu schaffen. 

Diese Aufgabe wird durch ein Verfahren zum Berechnen eines 
Ergebnisses einer Exponentiation gemaft Patentanspruch 1 oder 
durch eine Vorrichtung zum Berechnen eines Ergebnisses einer 
Exponentiation gemali Patentanspruch 8 gelost. 

Der vorliegenden Erfindung liegt die Erkenntnis zugrunde, daft 
von dem Square-and-Multiply-Algorithmus, der einerseits un- 
symmetrisch ist und andererseits lediglich eine serielle Aus- 
fuhrung erlaubt, weggegangen werden muli. Statt dessen wird 
die modulare Exponentiation unter Verwendung zweier Hilfsgro- 
ften berechnet. Fur jede Stelle des Exponenten werden zwei 
Multiplikationen berechnet, und zwar die Multiplikation einer 
Hilfsgrofte mit sich selbst und die Multiplikation der beiden 
Hilfsgroften miteinander. Dieses Konzept kann als Montgomery- 
Leiter betrachtet werden, die darauf basiert, daft der Unter- 
schied der beiden Hilfsgroften immer darin besteht, daft das 
Verhaltnis der Hilfsgroften untereinander gleich der Basis B 
ist . 

Ein Vorteil der vorliegenden Erfindung besteht darin, dafi un- 
abhangig davon, welchen Wert der Exponent hat, die Anzahl der 
Rechenoperationen gleich ist (zwei Multiplikationen) . 

Ein weiterer Vorteil der vorliegenden Erfindung besteht dar- 
in, daft die beiden Multiplikationen, die pro Exponent zu be- 
rechnen sind, voneinander unabhangig sind. Die beiden Multi- 
plikationen konnen daher parallel berechnet werden. Besonders 
dieses Merkmal fuhrt zu einem Perf ormancegewinn vom Faktor 2 
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gegenuber dem in Fig. 3 bezeichneten Square-and-Multiply- 
Algorithmus mit Dummy-Multiplikation . Selbst gegenuber dem 
Square-and-Multiply-Algorithmus ohne Dummy-Multiplikation 
wird noch ein Perf ormancegewinn vom Faktor 1,5 durch das er- 
5 f indungsgemafie Konzept erreicht. 

Es sei darauf hingewiesen, dafi das erf indungsgemafte Konzept 
inharent sicher gegenuber Timing- und Power-Attacken ist, da 
die „Rechenarbeit" des Algorithmus immer gleich ist, unabhan- 
10 gig davon, ob die Stelle des Exponenten gleich 0 Oder gleich 
1 ist . 

| Bei bevorzugten Ausf iihrungsbeispielen wird das erf indungsge- 
mafie Konzept zur Berechnung von modularen Exponentiationen 

15 eingeflihrt. Hierzu werden die beiden Hilfsgroften am Ende der 
Verarbeitung jedes Exponenten auf die Restklasse bezliglich 
des Moduls N reduziert, wobei beliebige Algorithmen einge- 
setzt werden konnen, um eine Multiplikation samt modularer 
Reduktion unter Verwendung von Look-Ahead-Techniken durchzu- 

20 fuhren. An dieser Stelle sei erneut auf das bekannte ZDN- 
Verf ahren verwiesen . 

Bevorzugte Ausf uhrungsbeispiele der vorliegenden Erfindung 
werden nachfolgend bezugnehmend auf die beiliegenden Zeich- 
25 nungen naher erlautert. Es zeigen: 




Fig. 



1 



ein Blockschaltbild des erf indungsgemafien Verfah- 
rens zum Berechnen eines Ergebnisses einer Exponen- 
tiation; 



30 



Fig . 



ein Blockdiagramm des Verfahrens von Fig. 1 mit mo- 
dularer Reduktion; und 



Fig. 



eine allgemeine Darstellung des bekannten Square- 
and-Multiply-Algorithmus mit und ohne Dummy- 
Mult iplikat ion . 



35 
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In der nachf olgenden Erlauterung des erfindungsgemaBen Kon- 
zepts werden die gleichen Grofien wie bei der Beschreibung von 
Fig. 3 verwendet. Zunachst werden in einem Schritt 100 die 
Basis B und der Exponent d eingegeben. In einem Schritt 102 
werden dann die beiden Hilfsgrofien X und Y initialisiert , wie 
es in Fig. 1 dargestellt ist. Insbesondere erhalt X den Wert 
1, wahrend Y den Wert der Basis B erhalt. In einem Block 104 
werden dann die Bits d± des Exponenten d vorzugsweise vom 
hochstwertigen Bit des Exponenten sequentiell bis zum nie- 
derstwertigen Bit des Exponenten verarbeitet. Ist das aktuel- 
le Bit des Exponenten di gleich 0, so findet die linke Spalte 
104a des Blocks 104 Anwendung, wahrend, wenn das aktuelle Bit 
di des Exponenten gleich 1 ist, die rechte Spalte 104b des 
Blocks 104 Anwendung findet. Insbesondere wird im Fall des 
Exponentenbits gleich 0 die Hilfsgrofie X derart berechnet, 
daft sie gleich dem Quadrat der alten Hilfsgrofie X ist. Die 
Hilfsgrofie Y wird derart berechnet, dafi sie gleich dem Pro- 
dukt der alten Hilfsgrofie X und der alten Hilfsgrofie Y ist. 

Im anderen Fall, also wenn die betrachtete Stelle des Expo- 
nenten gleich 1 ist, wird die Hilfsgrofie X so berechnet, daft 
sie gleich dem Produkt der alten Hilfsgrofie X und der alten 
Hilfsgrofie Y ist. Die zweite Hilfsgrofie Y ist gleich dem 
Quadrat der alten Hilfsgrofie Y. 

Aus Fig. 1 ist zu sehen, dafi die beiden Produkte zur Berech- 
nung von X und Y unabhangig voneinander sind, also parallel 
berechnet werden konnen. Diese Parallelisierbar keit ermog- 
licht einen hohen Perf ormancegewinn . 

Wenn alle Bits <d± des Exponenten d verarbeitet sind, wird zu 
einem Block 106 gesprungen. Der Block 106 ermoglicht die Aus- 
gabe des Ergebniswerts E . Der am Ende der Verarbeitung aller 
Bits vorhandene Wert der ersten Hilfsgrofie X ist gleich dem 
Ergebnis der Exponentiation B d . 
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Im nachf olgenden wird das erf indungsgemafte Konzept anhand ei- 
nes einfachen Zahlenbeispiels illustriert. Es sei angenommen, 
dafi der Exponent d binar und vierstellig ist und folgenden 
Wert hat: 

d - 1011. 

Nach dem Schritt 102 des Initialisierens haben die beiden 
Hilfsgroften folgende Werte: 

X = 1; Y = B. 

Die hochstwertige Stelle des Exponenten d ist 1. Dies bedeu- 
tet, daft die beiden Hilfsgroften nach einem ersten Durchlauf 
des Teilblocks 104b folgende Werte haben: 

X = B; Y = B 2 . 

Die nachstniedrigere Stelle des Exponenten d ist gleich 0. 
Dies fuhrt dazu, daft im Block 104 der linke Teilblock 104a 
genommen werden muft. Am Ende der Verarbeitung durch den Block 
104a haben die beiden Hilfsgroften folgende Werte: 

X = B 2 ; Y = B 3 . 

Die nachstniedrigere Stelle des Exponenten ist eine 1. Dies 
bedeutet, daft wieder der rechte Teilblock 104b des Blocks 104 
durchlauf en werden muft. Am Ende der Verarbeitung haben die 
beiden Hilfsgroften folgenden Wert: 

X = B 5 ; Y - B 6 . 

Die niederstwertige Stelle des Exponenten d hat schlieftlich 
den Wert 1. Dies bedeutet, daft wieder der rechte Teilblock 
104b des Blocks 104 durchlauf en werden muft. Am Ende der Ver- 
arbeitung haben die beiden Hilfsgroften folgende Werte: 
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X = B 11 ; Y = B 12 . 

Nun sind alle Bits des Exponenten d verarbeitet und es kann 
zum Block 106 gesprungen werden. Das Ergebnis der Exponentia 
tion, also der aktuelle Wert der Hilfsgrofte X, betragt B 11 , 
wobei der Wert 11 im Dezimalsystem dem Wert 1011 im Binarsys 
tern entspricht. 

Aus dem vorangegangenen Rechenbeispiel wird deutlich, daft 
samtliche Zwischenergebnisse des erfindungsgemafien Konzepts 
verwendet werden, d. h. daft keine Dummy-Mult iplikationen 
stattfinden. Samtliche Zwischenergebnisse werden verwendet, 
abgesehen von dem Ergebnis der HilfsgroBe Y im letzten 
Schritt. Sie wird nicht benotigt und mufi daher auch nicht 
zwingend berechnet werden. Wenn festgestellt wird, daft die 
letzte Stelle des Exponenten aktuell verarbeitet wird, so 
wurde es genugen, nur die erste Hilfsgrofie X zu berechnen. 
Aus Sicherheitsgrunden kann jedoch das parallel arbeitende 
Rechenwerk zur Berechnung des Werts von Y ebenfalls mitlau- 
fen. Der Ergebniswert wird dann nicht mehr verwendet. 

Im nachfolgenden wird auf Fig. 2 Bezug genommen. Fig. 2 un- 
terscheidet sich von Fig. 1 lediglich dadurch, daft statt ei- 
ner ublichen Exponentiation eine modulare Exponentiation in 
der allgemeinen Einheitengruppe von Z modulo N berechnet 
wird, wie sie etwa im RSA-Ver f ahren benutzt wird. Hierzu fin* 
det bei jeder Berechnung der Hilfsgrofte, sei es im Teilblock 
104a oder im Teilblock 104b, eine modulare Reduktion mod N 
statt. Dies fuhrt automatisch dazu, dafJ am Ende das Ergebnis 
der modularen Exponentiation B d mod N erhalten wird. 

Im Pseudocode lautet der erf indungsgemafte Algorithmus folgen- 
dermafien : 

Eingabe: Basis B, Modul N, Exponent d 
n: = Lange des Exponenten d 
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i: = 0 

(X, Y) : = (1, B) 
wahrend (i < n) do 
wenn di = 0, dann 
5 (X, Y) : = (X 2 mod N, XY mod N) 

ansonsten, wenn di = 1, dann 

(X, Y) : = (XY mod N, Y 2 mod N) 
ende wenn 
i: = i + 1 
10 ende wahrend 
E: = X 

| Ausgabe: E (= B d modulo N) . 

15 Das erf indungsgemafie Konzept ist dahingehend vorteilhaft, daft 
es das Zeitprofil und das Stromprofil homogenisiert und zu- 
satzlich aufgrund einer Parallelisierbarkeit Perf ormancege- 
winne erlaubt. Ferner wird kein berechnetes Zwischenergebnis 
verworfen. Dies wird erreicht, indem ein der Montgomery- 
Leiter fur elliptische Kurven ahnliches Konzept auf beliebige 
abstrakte Gruppen, wie z. B. die Einheitengruppe von Z modulo 
N angewendet wird, wie sie etwa im RSA-Verf ahren benutzt 
wird. 



20 
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Patentanspruche 

1. Verfahren zum Berechnen eines Ergebnisses E einer Expo- 
nentiation B d , wobei B eine Basis ist und wobei d ein Expo- 
nent ist, wobei der Exponent durch eine binare Zahl aus einer 
Mehrzahl von Bits darstellbar ist, mit folgenden Schritten: 

Initialisieren (102) einer ersten Hilfsgrofie X auf einen Wert 
von 1; 

Initialisieren (102) einer zweiten Hilfsgrofie Y auf die Basis 
B; 

sequentielles Verarbeiten (104) der Bits des Exponenten 
durch : 

Aktualisieren (104a) der ersten Hilfsgrofte X durch X 2 
oder einen von X 2 abgeleiteten Wert und Aktualisieren 
der zweiten Hilfsgrofte Y durch X*Y oder einen von X*Y 
abgeleiteten Wert, falls ein Bit des Exponenten gleich 0 
ist, oder 

Aktualisieren (104b) der ersten Hilfsgrofte X durch X*Y 
oder einen von X*Y abgeleiteten Wert und Aktualisieren 
der zweiten HilfsgroBe Y durch Y 2 oder einen von Y 2 ab- 
geleiteten Wert, falls ein Bit des Exponenten gleich 1 
ist; und 

nach der sequentiellen Verarbeitung aller Bits des Exponen- 
ten, Verwenden (106) des Werts der ersten Hilfsgrofie X als 
das Ergebnis der Exponentiation. 

2. Verfahren gemafi Anspruch 1, bei dem in dem Schritt des 
sequentiellen Verarbeitens (104) von dem hochstwert igen Bit 
des Exponenten ausgegangen wird. 

3. Verfahren gemaft Anspruch 1 oder 2, 
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bei dem die Exponentiation eine modulare Exponentiation B d 
mod N ist, wobei N der Modul ist, und 

5 bei dem der von X 2 , XY oder Y 2 abgeleitete Wert durch modula- 
re Reduktion mit dem Modul N von X 2 , XY bzw. Y 2 erzeugt wird. 

4. Verfahren gemaft einem der Anspruche 1 bis 3, 

10 bei dem in dem Schritt des Aktualisierens, falls das Bit des 
Exponenten gleich 1 ist, der Wert X 2 und der Wert X*Y paral- 
lel zueinander berechnet werden. 

I 

5. Verfahren gemaB einem der Anspruche 1 bis 4, 

15 

bei dem in dem Schritt des Aktualisierens, falls das Bit 
gleich 0 ist, der Wert X*Y und der Wert Y 2 parallel zueinan- 
der berechnet werden. 



20 6. Verfahren gemaft einem der Anspruche 3 bis 5, 

bei dem die modulare Exponentiation bei einer RSA- 
Entschlusselung und/oder einer RSA-Verschlusselung verwendet 
wird. 

25 

^ 7. Verfahren gemaft einem der Anspruche 3 bis 6, 

bei dem der Exponent d, die Basis B und/oder der Modul N 
Ganzzahlen sind. 

30 

8. Vorrichtung zum Berechnen eines Ergebnisses E einer Ex- 
ponentiation B d , wobei B eine Basis ist und wobei d ein Expo- 
nent ist, wobei der Exponent durch eine binare Zahl aus einer 
Mehrzahl von Bits darstellbar ist, mit folgenden Merkmalen: 

35 

einer Einrichtung zum Initialisieren (102) einer ersten 
Hilfsgrofte X auf einen Wert von 1; 
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einer Einrichtung zum Initialisieren (102) einer zweiten 
Hilfsgrofte Y auf die Basis B; 



5 einer Einrichtung zum sequentiellen Verarbeiten (104) der 
Bits des Exponenten durch: 

Aktualisieren (104a) der ersten Hilfsgrofte X durch X 2 
oder einen von X 2 abgeleiteten Wert und Aktualisieren 
10 der zweiten Hilfsgrofte Y durch X*Y oder einen von X*Y 

abgeleiteten Wert, falls ein Bit des Exponenten gleich 0 
ist, oder 

Aktualisieren (104b) der ersten Hilfsgrofte X durch X*Y 
15 oder einen von X*Y abgeleiteten Wert und Aktualisieren 

der zweiten Hilfsgrofte Y durch Y 2 oder einen von Y 2 ab- 
geleiteten Wert, falls ein Bit des Exponenten gleich 1 
ist; und 



20 einer Einrichtung zum Verwenden (106) des Werts der ersten 

Hilfsgrofte X als das Ergebnis der Exponentiation nach der se- 
quentiellen Verarbeitung aller Bits des Exponenten. 

9. Vorrichtung gemaft Anspruch 8, 

25 

|fc x bei der die Einrichtung zum sequentiellen Verarbeiten (104) 
ein erstes Rechenwerk und ein zweites Rechenwerk aufweist, 
wobei das erste Rechenwerk und das zweite Rechenwerk angeord- 
net sind, um parallel zueinander zu arbeiten, und 

30 

bei der das erste Rechenwerk angeordnet ist, um X 2 zu berech- 
nen, falls das Bit des Exponenten 0 ist, oder X*Y zu berech- 
nen, falls das Bit des Exponenten gleich 1 ist, und 

35 bei der das zweite Rechenwerk angeordnet ist, um X*Y zu be- 
rechnen, falls das Bit gleich 0 ist, und Y 2 zu berechnen, 
falls das Bit gleich 1 ist. 



200117139 



14 



Zusammenf as sung 

Verfahren und Vorrichtung zum Berechnen eines Ergebnisses ei- 
ner Exponentiation 

5 

Zum Berechnen des Ergebnisses einer Exponentiation B d , wobei 
B eine Basis ist und wobei d ein Exponent ist, der durch eine 
binare Zahl aus einer Mehrzahl von Bits darstellbar ist, wird 
zunachst eine erste Hilfsgrofie X auf einen Wert von 1 initia- 

10 lisiert (102) . Dann wird eine zweite Hilfsgrofie Y auf die Ba- 
sis B initialisiert (102) . Hierauf werden die Bits des Expo- 
nenten sequentiell verarbeitet (104), indem die erste Hilfs- 

|- grofie X durch X 2 oder einen von X 2 abgeleiteten Wert aktuali- 
siert wird, und indem die zweite Hilfsgrofie Y durch X*Y oder 

15 einen von X*Y abgeleiteten Wert aktualisiert wird, falls ein 
Bit des Exponenten gleich 0 ist (104a) . Falls ein Bit des Ex- 
ponenten gleich 1 ist, wird die erste Hilfsgrofie X durch X*Y 
oder einen von X*Y abgeleiteten Wert aktualisiert, und wird 
die zweite Hilfsgrofie Y durch Y 2 oder einen von Y 2 abgeleite- 

20 ten Wert aktualisiert (104b) . Nach der sequentiellen Verar- 
beitung aller Bits des Exponenten wird der Wert der ersten 
Hilfsgrofie X als das Ergebnis der Exponentiation verwendet 
(106) . Damit wird eine hohere Sicherheit durch Homogenisie- 
rung des Zeit- und des Stromprofils erreicht. Aufierdem wird 

25 ein Perf ormancegewinn durch Parallelisierbarkeit moglich. 



Figur 1 
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Bezugszeichenliste 



30 Ausgeben des Ergebnisses 

32 Eingeben von B, d, N 

34 Initialisierung des Ergebnisses 

36 Untersuchen des Bits des Exponenten 

38 Quadrierungsschritt, falls das Bit des Exponenten 
gleich 1 ist 

38' Quadrierungsschritt, falls das Bit des Exponenten 

gleich 0 ist 

40 Multiplikationsschritt 

40' Dummy-Multiplikationsschritt 

42 Untersuchen, ob weitere Bits di vorhanden sind 

44 Reduktionsschritt, falls das Bit gleich 1 ist 

44' Reduktionsschritt, falls das Bit des Exponenten 
gleich 0 ist 

4 6 Iterationsschleif e 

100 Eingabe von B, d 

102 Initialisieren von X, Y 

104 sequentielles Verarbeiten der Bits von d 

104a Aktualisieren der Hilfsgrofien, wenn di = 0 

104b Aktualisieren der HilfsgroBen, wenn di = 1 

106 Ausgeben des Ergebnisses 
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